Principaux changements - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Principaux changements

Note

  • La définition des termes « inscrit » et « inscrit » a changé avec cette nouvelle version d'AWS Control Tower. Lorsqu'une ressource AWS Control Tower account/OU est activée (par exemple, un contrôle ou une base de référence), elle sera considérée comme une ressource gouvernée. La définition ne sera plus dictée par la présence de la AWSControlTowerBaseline ligne de base.

  • Les rôles liés au service sont conservés dans toutes les versions de zone de landing zone et ne sont plus supprimés lorsqu'ils sont « non OUs enregistrés »

  • Les rôles liés aux services ne peuvent être supprimés manuellement par les clients qu'après la mise hors service de la zone d'atterrissage

  • Prérequis pour Landing Zone 4.0 : lors de la mise à niveau vers la version 4.0 via l'API, assurez-vous que le rôle de AWSControlTowerCloudTrailRole service utilise la nouvelle politique gérée AWSControlTowerCloudTrailRolePolicy au lieu de la politique en ligne existante. Détachez la politique en ligne actuelle et attachez la nouvelle politique gérée comme décrit dans la documentation.

  • Manifeste facultatif : le champ Manifest dans l'API de la zone d'atterrissage est désormais facultatif. Les clients peuvent créer des zones d'atterrissage sans aucune intégration de services. Cela n'a aucun impact pour les clients existants qui utilisent déjà le champ du manifeste.

  • Structure organisationnelle facultative : AWS Control Tower n'applique ni ne gère la création de l'unité d'organisation de sécurité, de sorte que les clients peuvent définir et gérer leur propre structure organisationnelle. Cependant, AWS Control Tower exigera que tous les comptes configurés pour chaque intégration de services AWS soient rattachés à la même unité d'organisation parent. Cela n'a aucun impact pour les clients qui ont déjà configuré l'AWS Control Tower et disposent de l'unité d'organisation de sécurité. AWS Control Tower déploie automatiquement les ressources et les contrôles nécessaires pour gérer les comptes d'intégration de services dans l'unité d'organisation de sécurité. Par exemple, lorsque l'intégration AWS Config est activée, l'enregistrement AWS Config est activé dans tous les comptes d'intégration de services. La ligne de base AWS Control Tower et la base de référence AWS Config ne s'appliquent pas à l'unité d'organisation de sécurité et aux comptes d'intégration. Pour modifier les intégrations de services, mettez à jour les paramètres de la zone d'atterrissage.

    Note

    • La configuration de la structure organisationnelle pour la zone d'atterrissage 4.0 d'AWS Control Tower a changé par rapport aux versions précédentes de la zone d'atterrissage. AWS Control Tower ne créera plus l'unité d'organisation de sécurité désignée. L'unité d'organisation avec les comptes d'intégration de services sera l'unité d'organisation de sécurité désignée.

    • Si les comptes des membres sont transférés vers l'unité d'organisation où résident les comptes de chaque intégration, les contrôles activés sur cette unité d'organisation sont déplacés, que l'inscription automatique soit activée ou désactivée.

  • Notifications de dérive : AWS Control Tower cessera d'envoyer des notifications de dérive à SNS Topic pour tous les clients sur la zone d'atterrissage 4.0 si cette option n'est pas AWSControlTowerBaseline activée, et commencera à envoyer des notifications de dérive au compte de gestion à EventBridge la place. Pour consulter des exemples d'événements et des conseils sur la manière de recevoir des notifications de dérive EventBridge, veuillez consulter ce guide.

  • Intégrations de services facultatives : vous pouvez désormais accéder à enable/disable toutes les intégrations d'AWS Control Tower CloudTrail SecurityRoles, y compris AWS Config AWS et. AWS Backup Ces intégrations ont également désormais des enabled indicateurs facultatifs obligatoires dans l'API. Les lignes de base qui peuvent s'appliquer à votre zone d'atterrissage ou à vos comptes partagés dépendent désormais les unes des autres. Les dépendances spécifiques aux intégrations sont les suivantes :

    • Habilitation :

      • CentralSecurityRolesBaselineCentralConfigBaseline doit être activé

      • IdentityCenterBaselineCentralSecurityRolesBaseline doit être activé

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline doit être activé

      • BackupAdminBaselineCentralSecurityRolesBaseline doit être activé

      • LogArchiveBaseline→ indépendant (aucune dépendance)

      • CentralConfigBaseline→ indépendant (aucune dépendance)

    • Invalidité :

      • CentralConfigBaselinene peut être désactivé que si CentralSecurityRolesBaselineIdentityCenterBaseline, BackupAdminBaseline et les BackupCentralVaultBaseline lignes de base sont désactivées en premier.

      • CentralSecurityRolesBaselinene peut être désactivé que siIdentityCenterBaseline, BackupAdminBaseline et les BackupCentralVaultBaseline lignes de base sont désactivées en premier.

      • IdentityCenterBaselinepeut être désactivé indépendamment.

      • BackupAdminBaselineet les BackupCentralVaultBaseline lignes de base peuvent être désactivées indépendamment

      • LogArchiveBaselinepeut être désactivé indépendamment